Consumatori Veneto

In generale, il trattamento dei dati può o deve avvenire:

-  secondo il principio di necessità, ovvero nei casi in cui il trattamento sia necessario per il perseguimento di finalità determinate, esplicite e legittime, e comunque nei limiti anche temporali di realizzazione di tali finalità;

-  con modalità conformi alla legge ed al generale principio di correttezza.

Diversamente, vige un divieto di utitlizzazione dei dati personali, la cui violazione può comportare l’applicazione di sanzioni amministrative e penali (su cui infra).

Chi intende effettuare un trattamento di dati personali (quindi raccoglierli, conservarli, diffonderli, ecc.) deve, in generale:

1. rilasciare all’interessato (il titolare dei dati) una informativa, contenente almeno:

-  la finalità e le modalità del trattamento;

-  se il conferimento dei dati da parte dell’interessato è facoltativo od obbligatorio (perché indispensabile alla realizzazione delle finalità del trattamento);

-  le conseguenze del rifiuto di conferire i dati ;

-  i soggetti a cui i dati raccolti possono venire comunicati nel corso del trattamento;

-  i diritti dell’interessato in ordine al trattamento (su cui infra);

-  l’identità del titolare del trattamento (colui che ne decide finalità e modalità) e del relativo responsabile (colui che è preposto al trattamento dei dati).

Se i dati sono raccolti da soggetto diverso dall’interessato, l’informativa deve comunque essere comunicata a questo ultimo:

- all’atto della registrazione dei dati, o

- quando i dati vengono messi a disposizione di soggetti terzi.

L’omissione dell’informativa integra una violazione amministrativa che comporta l’applicazione di una sanzione da 3.000 a 18.000 euro, suscettibile di aumentare sino a 30.000 euro se la violazione è correlata al trattamento di dati sensibili o giudiziari, o sino al triplo se l’entità edittale risulta ineficace in relazione alle condizioni economiche del contravventore.

L’informativa all’interessato non è necessaria allorché i dati siano raccolti in adempimento di un obbligo di legge o per far valere un diritto in sede giudiziaria, né quando la comunicazione all’interessato sia eccessivamente onerosa od impossibile (previo giudizio del Garante per la protezione dei dati personali).

 2. ottenere il preventivo consenso dell’interessato;

per essere valido, il consenso deve essere prestato:

-  una volta ricevuta l’informativa di cui sopra,

-  liberamente (consapevolmente, senza condizionamenti),

-  con specifico riferimento ad un determinato trattamento,

Il consenso dell’interessato non occorre quando:

- i dati trattati provengono da elenchi o registri pubblici

- il trattamento è necessario:

a. per adempiere ad un obbligo normativo o contrattuale,

b. per far valere un diritto in sede giudiziaria,

c. per tutelare la vita o l’incolumità del titolare dei dati trattati,

d. per tutelare un legittimo interesse del soggetto che effettua il trattamento o ha accesso ai dati, nei casi espressamente previsti dal Garante, (ad esempio in ambito di attività di gruppi bancari)

- il trattamento è effettuato da associazioni o enti senza scopo di lucro e riguarda i dati dei loro aderenti o di soggetti che intrattengono con essi contatti regolari.

Il Codice sulla protezione dei dati personali equipara il trattamento dei dati ad un’attività pericolosa, cosicché nel caso in cui il trattamento dei dati causi un danno all’interessato, chi ha effettuato il trattamento incorre in responsabilità risarcitoria, a meno che non offra la prova liberatoria di avere adottato tutte le misure idonee a evitare il danno.

Al termine del trattamento i dati personali devono essere distrutti, o conservati per fini personali, senza diffusione. Possono altresì essere ceduti ad altro soggetto che ne faccia un trattamento per scopi affini a quello per cui i dati sono stati raccolti, ovvero per scopi storici, scientifici o statistici.

Regole particolari per il trattamento dei dati personali sono dettate in tema di:

a. dati sensibili (idonei a rivelare la razza di un soggetto, la religione, le preferenze o appartenenze politiche, ma anche lo stato di salute e la vita sessuale):

- per il loro trattamento sono in genere necessari:

  1. il previo consenso dell’interessato reso in forma scritta e,

  2. l’espressa autorizzazione del Garante al soggetto che effettua il trattamento;

-  detti requisiti non sono necessari per il trattamento dei dati di aderenti a confessioni religiose, se effettuato dagli organi ufficiali delle stesse confessioni e nei limiti delle finalità loro proprie, fermo il divieto di diffusione all’esterno;

-  è invece necessaria l’autorizzazione del Garante, ma non il consenso dell’interessato:

  1. per il trattamento di dati di aderenti ad enti senza scopo di lucro come partiti politici, associazioni religiose o sindacali, se effettuato per scopi indicati nei rispettivi statuti od atti costitutivi, fermo comunque il divieto di comunicazione o diffusione all’esterno dei dati stessi;

  2. se il trattamento dei dati dell’interessato è necessario per salvaguardare la vita o la salute di un soggetto terzo;

  3. se il trattamento è necessario per svolgere investigazioni difensive o per far valere un diritto in sede giudiziaria;

  4. se il trattamento è necessario per adempiere ad un obbligo normativo.

b. dati giudiziari (inerenti provvedimenti giudiziari in materia penale ovvero idonei a rivelare la qualità di imputato od indagato):

-  il relativo trattamento è consentito sulla sola base e nei limiti di specifiche previsioni normative o di espressa autorizzazione del Garante, per finalità di interesse pubblico.

Va evidenziato che il Garante ha emesso e rinnovato provvedimenti di carattere generale, contenenti autorizzazione al trattamento di dati sensibili e giudiziari da parte di datori di lavoro, operatori sanitari, associazioni, banche, assicurazioni, investigatori privati che per ragioni di lavoro o d’ufficio utilizzano tal genere di dati.

c. trattamento di dati personali da parte di enti pubblici

- può essere svolto solo nei limiti delle funzioni istituzionali del singolo ente pubblico,

- non richiede il previo consenso dell’interessato

- deve essere previsto da norma di legge se comporta la diffusione di dati personali o la comunicazione a soggetti privati,

- deve essere previsto da norma di legge o preceduto da autorizzazione del Garante se riguarda dati sensibili o giudiziari; in tal caso il trattamento può riguardare solo dati che siano indispensabili per lo svolgimento di attività istituzionali, le quali non siano esercitabili mediante l’utilizzo di dati anonimi o personali ma non sensibili;

d. dati idonei a rivelare lo stato di salute:

- non possono essere mai diffusi

Il Codice onera inoltre il titolare del trattamento di dati personali di ulteriori adempimenti:

notificazione del trattamento

consiste in una dichiarazione con la quale il titolare del trattamento di dati personali rende nota al Garante l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali;

è obbligatoria se il trattamento riguarda dati genetici o biometrici, l’ubicazione di soggetti che effettuano una comunicazione elettronica, dati idonei a rivelare lo stato di salute, la vita sessuale o la sfera psichica, abitudini o scelte di consumo, ed altri;

comunicazione del trattamento

consiste informativa inviata dal titolare del trattamento al Garante, prima che venga effettuato il trattamento, circa:

- la comunicazione di dati personali svolta tra soggetti pubblici ma non prevista da normativa,

- il trattamento di dati idonei a rivelare lo stato di salute, svolto nell’ambito di un programma di ricerca sanitaria conforme alle norme di riordino della disciplina in materia sanitaria.